2007基于层次分析法和隐马尔可夫模型的风险评估方法研究.pdf

《2007基于层次分析法和隐马尔可夫模型的风险评估方法研究.pdf》由会员分享，可在线阅读，更多相关《2007基于层次分析法和隐马尔可夫模型的风险评估方法研究.pdf（71页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、湖南大学硕士学位论文基于层次分析法和隐马尔可夫模型的风险评估方法研究姓名：龙百元申请学位级别：硕士专业：软件工程指导教师：谢冬青20071108基于层次分析法和隐马尔可夫模型的风险评估方法研究摘要风险评估是网络系统安全管理的基础和前提，风险管理根据风险评估的结果制定风险管理决策，而评估方法是风险评估过程中最关键的技术，评估方法的选择直接影响到风险评估的最终结果。因此，风险评估方法的研究对于网络系统安全管理而言具有重要意义。本文的主要工作有：1 本文深入研究分析了国内外风险评估体系，包括风险评估标准和指南、风险评估模型、风险评估工具、风险评估方法等，通过归纳、对比分析了它们各自的特点、优点、缺点

2、和发展趋势，同时也为本文的研究目标确定了方向。2 传统的风险评估方法层次分析法(A H P)由于判断值受人为因素影响太大，导致在衡量多因素权重时常常出现结果不一致，影响了结论的准确性和评估结果的可信任性。本文建立了基于“网络一主机一服务一评估因子一的层次化风险评估模型，利用层次化的计算模型评估网络的风险等级，提出一种新的基于区间判断矩阵且自动修正判断矩阵的层次分析法。具体做法是从区间判断矩阵入手，将区间判断矩阵一致逼近到一般的数字判断矩阵，给出一种自动修正判断矩阵的层次分析法得到各层元素的近似权重。通过实例验证，表明该方法能精确地、自动化量化风险势态状况。3 在风险分析环节，针对当前的入侵检测

3、和防御系统的缺陷，本文提出了一种基于隐马尔可夫模型的分布式多节点入侵防御系统(H M M D I P S)。H M M D I P S主要方法是通过分布式入侵检测(D I D S)移动代理对网络数据的收集，经过H M M计算出该网络节点的风险势态，并实时更新入侵检测规则库。该方法改进了传统入侵检测系统的缺乏自动阻止对抗攻击的性能，还降低了漏报率和误报率，同时也为基于H M M 的实时风险评估提供更精确的数据收集和实时的数据更新。本文还建立了一个H M M D I P S 的模拟网络，通过实验验证了该系统的可行性。4 在风险评估环节，传统的评估方法大多是一种静态评估模式，习惯把风险停留在最大威胁

4、的状态，不利于实时动态地反映出当前网络的安全状态。本文提出基于H M M 的实时风险评估方法，通过分布式多节点I D S 移动代理数据动态更新，重点描述当前风险活动级别，也可以预测未来的风险势态。同时，即使风险处在最高警报级别，当即时风险警报危急程度降低时，在本文提到的H M M 评估风险级别也可以逐渐地降低，这样可以避免越来越多的系统或主机被评定为最高风险级别。基于H M M 的实时风险评估方法具有很强的适应性和扩展性，能有效地适用于对网络、主机、系统、服务等级别的风险评估。关键词：风险评估，层次分析法，区问判断矩阵，隐马尔可夫模型，分布式入侵防御系统薹聿唾蔫羹菱羹霎蓁薹走蹄塑蓁霪l 鎏鲢奏

5、量耄薹塞薹拼要硭鬲l 鐾霎爵【掣茔k 鐾臼撕舅l I c 萋i 董曼茎星萋羹i 墓羹霞理圆圊旺旺t h 鬟篓墓i 露羹塞霎塑警霪鋈r 蛊靼瓤蓁霾蠹讳薹泛a 萋差薹略羹陛。藏莓曙l 强佳垂沼：产薹嚣张蓁望耋曼受蹙5|墓霾f|，电|矍蓁妻妻薹萝耋轨冀通至|f 隍薹翼霎曼日1 rt 色矗匝r 嵋霎譬萎l l l L 霎雾一瓠墅熏篓霎I t 目；羹雾蓁琶球曼耋考|囊舀霆；毳三薹目；吾|黼鋈8 茎l 薹蓄薹_ 零蠢耋；曼首童霪鞲!卫塑塑一“垦l 妻蓁y；蓁羹萎置羹芋羹雾蚕一蓬丽蜊兰交蕈l i l 曼交鎏i 封藿薹垒I l 奏羹蓄演 _ 兽蓄窖蕊薹霉重；萋雾喜奠浮冀鲢墓i l ld 型型l 冀窜薹委震丙塞

6、：u 霎!叁i i s 妻囊鼍!甍嚯霪霪攀|蓁垂耋蒂量耋需颟l匡i 掣1 I 姜口j 堕i嚣l l i 萎薹嚆胃霉 t。目羹玉专l 蓁囊鋈l 零i；圣鎏雹西l 薹；鑫萝髦喜塞墨u 竖l雾壁g 塞塞薹雾|茎乔噩薹l 薹螽霸鋈鬻|妻萋窭蓁霎霆霪U 曼霪罂耄鋈萎羹囊l 巨蓁!塞圆鞲霞露翼蓁些蓄口缓；雾塾i 羹叁l 一|蓁|霎毒肴蓬枣|蓁l 誊点鎏薹錾薹墓薹；i；差差l 羹鬟釜呈蚕枣霪叁薹i 委雾I f k w 雩叁l 冀跨肾i 蓁!囊茎妻；星羹嚣薹墓蚕芒霪露F lI 乏蓁鲁|蔓预琶重璧l 雾西】望囊垒萋萋罐皇茎霎iI 鋈菱!蔫萋!囊矍塞耋蓠到|j 髑蓁j 譬鳖鬟霎翳l|l 蓁葡塞霆季塞萋I c 耋莺

7、考叠鬓兰玎蓁；耋i 舞孽鐾蚕霎誊委荔虱 塞鬟目孽s l 主；薹l 亡蓁醚妻匡蘑建囊-量雪季耋星|耋l 芝I 蓁；弱茎葡塞童茎奏薹蓬璧叁羹薹季餐矍拳垂前羹菩蓦荟j，茧蓁|已嘻萝蠢露辇饕裂蒸囊i 蕊礓堙星叫霪型；茎写嗣茎亳j 蓁蓁i 萋|萋喜霎跫笺薹霎萎羹羹l 霎l 氢|!翼鼋j l 萋1；耋b 翘囊主堡堇霎鐾l 面霎到地基I】嘎至；蓁蓁翼萋薹露萋照曼n 霎i 喜星希冀薹蠢量!擎羹雾|耋蓁l 蓑蚕蛾蓁薹耋l 菱霎垂萎【霎；闭幕薹|蓄r 囊塞燃妻毒i 翼蓄誉蠢H 耋!罨篓耄吞a 薹盖垡 l 瞪堂羹霎l 囊篓型寻!萋 霆震强雾霞丛薹露疆咽蔓蓄鲤蓁窭l 稀鐾霎蓁蓁l J 霪嗡莲匹羹l班：雾囊誊一鲢鼋埋|

8、雾悝l 潆娟静l!l 墓蕈囊I 荸l 星F 善垄羹贾望垂葙鼙u l 些雾|1 鐾2 i 雾囊【盈i 蓁霎l 蓟囊；墓趸g s 蓁耄霪蔓蔓蚕蕊晤墓l 霎羹雾|!鲢蓁薹霎雾!垦雾雾冀 嚯盘l 朗臼；嘉|萎竖薹茎0 l|!墅目萋l 蓁茎霎H 霪蓁j 量f j i 曼等l l 圣薄点婚2|笺百雾霎i 重|囊l f 葫幂葛蒜雾霉；#鋈室羹肴!l 萋i 嚣苴i l 羹霎塑I 量 自i 氢塞薹l 篓量默冀i 雾!；，霎鍪墓譬墅羹萋|鼋耋霭攉盆篓圣e e 霪。暑l 障鍪墓墓譬薹!毒萎!薹奏季辇票 些F 1a 萝鼍霉墨萎熏奏l i l l 霎蕙雹 靼薹主n a l 奏睾i 薹蓁茎蓟_ 墼i l 囊；引分；叁型引

9、囊奏蒂冀藿l i 季1 1 霾|翻羹i 霪霎喜曩誓鼋鱼醴l 霎垦冀型霎嘭f !l 毡霾暧骂尔r _ 耄墓掣型墨霪弱到髦薪篓耄!薹l 雪薹章i 蓁i|霎ll 薹妻耋雾茎至i i 孽至至i i 墓垂窒耄毽鏖硷毒萎霎妻叁!；耋猃姜雾蓄雪羹曼!薹；耄蓁霎羹。；|i|；l 萋羹一瑟丢l 孽毛i I a 季氐雩。飕垦霪蓄i|耋垂冀耋喜刁i 薹篓善冀誉蕊冀冀溺蠹囊l 薹l 羹莓雾堕擎妻蓁耋雾攀鲁霉逵奏；薹雾薹需鋈荔羹羹l 羹羹自蕊霎錾一_ 自l 萎；薹i i 羹i l；蚕奏萋=麦晕。矍塞l 莲|唾唾薹i 囊蘑粪蚕一囊一l 蚕l 羹羹l 曩篓!l l l l 璧萋霆；蠢霎鋈i 薹i 翼妻蓁霉枣曼雾雾蓄藿川藿晷

10、|i i 煽蒸羹i 羹濡毖霾i 爹姥诌霎；啜霆羹燃雾羹冀雾雾鬻哆囊囊戛i 至蓁篓。剜剖璧m 醇喊彩l 季萋舞恍荔羹羹萋一翼l 薹翼弱鬟掌；蓁鳍霎；搴；篓i i I 薹i 瞳雾l 冀i 鬟强羹誊l 蓖霉蕊蕊；型蓁i 囊霎姜荔蓁蓁塞蓁3 童薹茎孛霉i；凳i 耋童墓霞蚕蠹墓蕊l l 霎冀霎l l 纂羹l 蓁薹嚣l 墓蕈专；妻羹藿|一垂主!薹黑；耋嚣薹蓄匿，室萋羹蕊一冀羹，鋈雾l 羹羹l 藿“i 蚕虿!薹羔蚕酉!霾霆霪霉目j o 鬟醒蓁蓁 i 羹!搿羹；羹雾羹羹；篓羹F；雾鬟雾；e 昏囊一盟擎毫i 噻絮姜薹雾垂垂妻雾!翳萋蠢l；羹羹羹霪l 蓁羹l 萋薹鐾萎巍薹薹|竖l 蠢瑟嚣薹薹嘉墨霆奏l 羹霪羹l

11、l i i 缓霸2 Z 霎虿蓁薹囊吲i 霎 i 塑塑雪羲黼斟雾?釜!i 堡霾冀羹蠢餮i 3 墓墓l l 樊；霎喜喜l 蓁翼篓溪鎏攀鬟墅麓赫黧耋粪霎羹羹蓁i l 霎l!旦i 雾s 8 秦霉；孓烬，垒丽蓁；一冀蓁蓁鋈察霾目咻互囊|堑一一蓁雾酏籍。塞i 磊嚣薰塾甏霁茹鲫烈割重岜甍墼葱鬟纛冀雾；需蓊x硕士学位论文1 1 研究背景和意义1 1 1 研究背景第l 章绪论信息技术的发展已经翻天覆地地改变了整个世界。信息在人们的生产、生活中扮演着越来越重要的角色，人类越来越依赖基于信息技术所创造出来的产品。以信息技术为基础的信息产业已经成为世界经济的重要支柱产业，信息产业的发达程度已经成为一个国家的综合国力和

12、国际竞争力强弱的重要标志n 1 然而人们在尽情享受信息技术带给人类巨大进步的同时，也逐渐意识到它是一把双刃剑，在该领域“潘多拉盒子一已经不止一次被打开。近年来，网络信息系统遭受的攻击日趋频繁。由于网络模型固有的安全脆弱性、通讯设施和协议的内在特点使得计算机网络环境不可避免的具有大量风险旧，决定了信息系统的发展和应用将遭受木马、病毒、恶意代码、物理故障、人为破坏等各方面的威胁给我们带来的损失、影响不断加剧，如何评估和规避这些风险具有重要的意义。然而传统的方法，如杀毒、防火墙、入侵检测等防护措施已经远远不能试图阻止信息的破坏。信息系统已经从单纯的计算机环境扩展成包括所有信息载体的广义的大系统，信息

13、遭受破坏的威胁更加多样化和隐蔽化。传统的事后、被动、单一的方法往往只是针对出现的问题，采用一些安全防护措施，并以某个问题的暂时解决为过程结束标志的信息系统安全建设已经远不能适应信息系统安全防护的发展要求。这种模式往往缺少系统的考虑，就事论事，带有很大盲目性，经常是花费不少、收效甚微，造成资金、人员的巨大浪费安全事件很大部分归因于技术管理的缺乏所带来的弱点。因为系统结构过于复杂并且频繁、动态的变化，管理者很难做出决策，而且服务之间互相依赖管理操作可能潜在地控制网络中的所有组件，攻击之问的交互、管理的不足可能出现大量的潜在弱点的传播，导致更多潜在威胁。网络信息安全的内涵也在不断地延伸，从最初的信息

14、保密性发展到信息的完整性、可用性、可控性和不可否认性，进而又发展为q 攻(攻击)、防(防范)、测(检测)、控(控制)、管(管理)、评(评估)一等多方面的基础理论和实施技术拍1。网络信息系统安全问题单凭技术是无法得到彻底解决的，它的解决涉及到政策法规、管理、标准、技术等方方面面，任何单一层次上的安全措施都不可能提供真正的、全方位的安全，网络信息系统安全问题的解决更应该站在系统工程的角度来考虑在这项系统工程中，网络信息系统安全风险评估占有重要的地位，它是信息系统安全的基础和前提。风险评估是分析风险、采取步骤将风险消减到可接受的水平并且维持这一风险级别的过程。风险作为威胁、弱点和资产价值的函数，反映

15、了系统当前所处的摹于层次分析法和隐马尔可夫模型的风险评估方法研究安全状态H 1 风险管理根据风险评估的结果制定风险决策，风险评估是风险管理的最根本依据。尤其重要的系统风险评估是一个复杂的过程，需要确定计算机系统和网络中每一种资源的缺失或遭到破坏对整个系统造成的预计损失数量，即对威胁、脆弱点以及由此带来的风险大小的评估，其中涉及系统中包括物理环境、管理体系、主机安全、网络安全和应急体系等方面，要在这么广泛的范围内对一个复杂的系统进行一个全面的风险评估，传统的手工方法就不能满足要求了阻1。标准化、自动化、精确化的风险评估方法的实现对于系统安全全面彻底的执行和相应安全决策的制定具有重要意义。1 1

16、2 研究意义在风险评估体系中，评估标准和建立合适的评估模型在网络信息系统风险评估过程中的指导作用不容忽视，而在评估过程中使用何种方法对评估的有效性占有更重的地位，也是评估过程中最关键的技术环节。评估方法的选择直接影响到评估过程中的每个环节，甚至可以左右最终的评估结果，所以需要根据系统的具体情况，选择合适的风险评估方法。风险评估正向着标准化、自动化、精确化和系统化方向发展这也就要求风险评估方法也要沿着这些方向发展。传统的定性评估方法的优点是使评估的结论更全面、更深刻；缺点是主观性很强，对评估者本身要求很高。定量评估方法的优点是用直观的数据来表述评估的结果，看起来一目了然，而且比较客观；缺点是量化

17、过程容易使本来较复杂的事物简单化、模糊化。与定量评估方法相比较，定性评估方法的准确性稍好但精确性不够，定量评估方法则相反；定性评估方法没有定量评估方法那样繁多的计算负担，但要求分析者具备一定的经验和能力；定量评估方法依赖大量的统计数据，而定性评估方法没有这方面的要求；定性分析较为主观，定量评估方法基于客观：此外，定量评估的结果很直观，容易理解，而定性评估的结果则很难有统一的解释H 1。定性评估方法和定量评估方法各自存在不足，所以不能把定性和定量评估方法简单地分割开，而是应同时使用这两种方法，将这两种方法有机地结合起来，从而形成了综合性评估方法。无论是哪种评估方法，一种好的评估方法应该是具有精确

18、性、即时性、自动化、系统化和易扩展性。研究出好的评估方法对风险评估和风险管理具有重要的意义。1 2 国内外研究现状国外关于网络信息安全风险评估的研究已有2 0 多年的历史。美国、加拿大、欧洲等I T 产业发达的国家和地区于2 0 世纪7 0 年代和8 0 年代建立了国家认证机构和风险评估认证体系，负责研究并开发相关的评估标准、评估认证方法和评估技术，并进行基于评估标准的信息安全评估和认证。目前这些国家网络信息系统基于层次分析法和隐马尔可夫模型的风险评估方法研究断矩阵代替数字矩阵，减少人为主观因素带来的影响，用可自动修正的算法求权重，优化算法。1 2 2H M M 在入侵检测中的研究现状隐马尔可

19、夫模型(H M M)已经成功地应用到连续的语音信号识别6 1、行为识别以及文字识别n7 1 领域，是目前动态识别领域的主流方法。入侵检测系统的报警信息是风险评估的一个重要数据来源，也是风险分析的一个重要方法。因此研究一种高效的入侵检测系统对风险评估具有重要的意义。该领域已经有较多的研究成果，下面只简要介绍和本文研究相关联的基于代理和基于H M M 的入侵检测技术。马恒太n 刚等人提出了一个基于代理的分布式入侵检测系统模型框架。在分布式环境中，按照系统和网络的异常使用模式的不同特征和环境差异，可利用不同的代理进行检测，各代理相互协作，检测异常行为。该模型易于加入新的协作主机和入侵检测代理，也易于

20、扩充新的入侵检测模式。蔡学军、蔡茂荣等人n 们分析了基于移动代理技术的入侵检测系统的克服网络延迟、减轻网络负载、能异步自主地运行、可以动态配置等优点。美国新墨西哥大学的、r r e n d e rC 等人提出以系统调用为审计数据的H M M的异常检测乜训。普渡大学的L a n eT 是以U n i x 用户的S h e l l 命令为审计数据，进行了基于H M M 的用户行为异常检测研究和实验乜。国防科技大学孙宏伟心引、哈尔滨工业大学侯汉钦n 3 1 以及王志川等人乜钉都用隐马尔可夫模型对系统和网络的进行异常检测方法进行了研究。周东清等人提出基于H M M 的分布式拒绝服务攻击检测方法乜5 1

21、 D r D i r kO u r s t o n 等人提出用H M M 检测多级网络攻击心引。以上研究均取得了较好的效果，但是单纯的基于代理的方法不具备度量风险和预测风险趋势的能力，而单纯的基于H M M 的入侵检测或者异常检测常常因H M M 的特点忽视了网络节点之间的相互影响关系。因此，一种基于H M M 的分布式多节点入侵检测技术是一种解决该问题的方法，它将结合H M M 和代理各自的优点，提高检测结果的精确性。1 2 3H M M 在风险评估中的研究现状用隐马尔可夫模型作为一种评估网络风险的方法是一个比较新的方法。一个H M M 能够评估一个隐藏的状态，同时对这个隐藏的状态的观察数据

22、精确度也有所降低，它是通过一个观测状态和这个隐藏状态建立H M M 去计算现在的风险或预测将来的风险。国内应用H M M 作为风险评估方法的研究还几乎空白，主要是由于网络风险评估在国内起步晚，整个风险评估体系还在刚起步之中。针对风险评估方法的研究大多集中在借鉴国外的一些比较成熟的方法和技术，例如，一些基于专家系统的评估方法、基于模型的评估方法和一些以经典数学理论为基础的方法如层次分析法、模糊数学等阴 1 引。但也有些学者已经在此方面做了探讨性研究，2 0 0 3 年天津大学F e iG a 0，J i z h o uS 姐等人将H M M 应用到入侵检测中来预测4基于层次分析法和隐马尔可夫模型

23、的风险评估方法研究风险级别也可以逐渐地降低，这样可以避免越来越多的系统或主机被评定为最高风险级别。基于H M M 的实时风险评估方法具有很强的适应性和扩展性，能有效地适用于对网络、主机、系统、服务等级别的风险评估。1 4 文章结构和章节安排本文的结构章节安排如下：第l 章，绪论。首先介绍了本文的研究背景及意义，其次简介了国内外风险评估的研究现状，接着介绍了本文的主要研究内容和工作。第2 章，网络安全风险评估体系研究分析。在第l 节和第2 节中介绍了网络安全和风险评估体系的相关术语和基本内容。第3 节深入研究分析了国内外风险评估体系，包括风险评估标准和指南、风险评估模型、风险评估工具、风险评估方

24、法等，通过归纳、对比分析了它们各自的特点、优点、缺点或者发展趋势。第4 节为本章小结。第3 章，A H P 风险评估模型的权重优化计算方法。本章首先简要介绍了层次分析法决策过程及原理。第2 节设计了一种层次化风险评估模型。第3 节描述了层次化模型风险评估计算。第4 节重点介绍了本文提出自动修正区间判断矩阵的近似权重计算方法。第5 节对提出的近似权重计算方法进行实例验证。最后一节为本章小结。第4 章，基于H M M 分布式防御系统的设计与实现。第l 节简要介绍了隐马尔可夫模型的原理。第2 节介绍了基于H M M 分布式入侵防御系统的设计思想。第3 节实现了基于H M M 分布式入侵防御系统。第4

25、 节为模拟实验。最后的第5节为本章小结。第5 章，基于H M M 实时风险评估方法研究。第l 节简要介绍H M M 的优点和其在风险评估中的应用。第2 节为基于H M M 的实时风险评估模型设计。第3节该评估模型的扩展性探讨。第4 节为基于H M M 的风险评估实例。第5 节为本章小结部分。6硕上学位论文第2 章网络安全风险评估体系研究分析2 1 网络安全2 1 1 网络安全基本需求要素网络信息安全的基本需求包括可靠性、可用性、保密性、完整性、不可抵赖性和可控性六个主要要素b。t3。如图2 1 所示。图2 1 网络安全基本需求要素(1)可靠性(R e l i a b i l i t y)：可靠

26、性是网络信息系统能够在规定的条件下和规定的时间内完成规定的功能的特性。可靠性是系统安全的最基本的要求之一，是所有网络信息系统的建设和运行目标。网络信息系统的可靠性主要有三种：抗毁性、生存性和有效性。抗毁性是指在人为的破坏下的可靠性。比如，部分线路或节点失效后，系统是否仍然能够提供一定程序的服务。生存性是在随机破坏下系统的可靠性。扑结构对系统的可靠性影响。有效性是一种基于业务性能的可靠性。失效的情况下，满足业务性能要求的程度。可靠性、人员可靠性、环境可靠性等方面。生存性主要反映随机性破坏和网络拓有效性主要反映在网络信息系统部件可靠性主要表现在硬件可靠性、软件(2)可用性(A v a i l a

27、b i l i t y)：可用性是网络信息可被授权实体访问并按需使用的特性。即网络信息服务在需要时，允许授权用户或实体使用的特性，或者是网络部分受损或需要降级使用时，仍能为授权用户提供有效的特性。可用性是网络信息系统面向用户的安全性能。网络信息系统最基本的功能就是向用户提供服务，而用户的需求是随机的、多方面的，有时还有时间要求。(3)保密性(C o n f i d e n t i a l i t y)：保密性是网络信息不泄露给非授权的用户、基于层次分析法和隐马尔可夫模型的风险评估方洼研究实体或过程，或供其利用的特性。即防止信息泄露给非授权个人或实体，信息只为授权用户使用的特性。保密性是建立在可

28、靠性和可用性基础之上保障网络信息安全的重要手段。(4)完整性(I n t e 盯i t y)：完整性是网络信息未经授权不能进行改变的特性。即网络信息在存储或传输过程中保持不被偶然或蓄意地删除、修改、伪造、乱序、重放、插入等破坏和丢失的特性。完整性是一种面向信息的安全性，它要求保持新的原样，即信息的正确生成、正确存储和正确传输。(5)不可抵赖性(N o r e p u d i a t i o n)：也称作不可否认性，在网络信息系统的信息交互过程中，确信参与者的真实性。不可抵赖保证发信方无法否认他发给收信方的信息，并可通过数字取证、证据保全，使公证方和仲裁方方便介入，用法律管理网络。(6)可控性(

29、C 0 n t f o l l a b i I i t y)：可控性是对网络信息的传播及内容具有控制能力的特性，它保证对网络和信息可实施安全监控。上面是对网络的六个安全属性的介绍，网络面临的各种威胁会不同程度地破坏这些特性。网络安全风险管理的目标也就是保证和保护这些属性的完整。2 1 2 网络安全风险管理过程这里以C o R A S 风险管理n 2，3 3 1 过程为例，如图2 2 n 制，它主要包括建立环境、风险识别、风险分析、风险评估和风险处理这五个环节。固2 2C o R A S 风险管理过程8硕士学位论文2 2 网络安全风险评估2 2 1 网络安全风险评估的定义和范畴网络安全风险评估，

30、是指依据有关网络信息安全技术标准，采用科学的技术手段，对网络信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行科学评价的过程乜1 它要评估网络信息系统的脆弱性、网络信息系统面临的威胁以及脆弱性被威胁源利用后所产生的实际负面影响，并根据安全事件发生的可能性和负面影响的程度来识别网络信息系统的安全风险。网络安全是一个动态的复杂过程，它贯穿于信息资产和网络信息系统的整个生命周期。网络安全的威胁来自于内部破坏、外部攻击、内外勾结进行的破坏以及自然危害。必须按照风险管理的思想，对可能的威胁、脆弱性和需要保护的信息资产进行分析，依据风险评估的结果为信息系统选择适当的安全措施，妥善应

31、对可能发生的风险人们的认识能力和实践能力是有局限性的，因此，网络信息系统存在脆弱性是不可避免的网络信息系统的价值及其存在的脆弱性，使信息系统在现实环境中，总要面临各种人为或自然的威胁，存在安全风险也是必然的。网络信息安全建设的宗旨之一，就是在综合考虑成本与效益的前提下，通过安全措施来控制风险，使残余风险降低到可接受的程度。对系统进行风险分析和评估的目的就是：了解系统目前与未来的风险所在，评估这些风险可能带来的安全威胁与影响程度，为安全策略的确定、信息系统的建立及安全运行提供依据。同时通过第三方权威或者国际机构评估和认证，也给用户提供了信息技术产品和系统可靠性的信心增强产品、单位的竞争力网络安全

32、风险分析和评估是一个复杂的过程。一个完善的网络安全风险评估架构应该具备相应的标准体系、技术体系、组织架构、业务体系和法律法规H 5 1。网络安全风险评估是网络信息系统安全保障机制建立过程中的一种评价方法，其结果为网络信息安全风险管理提供依据。2 2 2 网络安全风险评估相关术语下面将介绍风险评估中经常用到的重要术语H 一引：信息系统(I n f o m a t i o ns v s t 锄)：广义上的信息系统泛指切处理信息的系统，狭义上的仅指基于计算机的系统，是人、规程、数据库、硬件和软件等各种设备、工具的有机结合，它突出的是计算机和网络通信等技术的应用。就本文研究内容而言，信息系统指的是后者

33、。资产(A s s e t s)：任何对组织有价值的东西，包括计算机硬件、通信设备、建筑物、数据库、文档信息、软件、信息服务和人员等，所有这些都需要妥善保护。威胁(T b r e a t)：就是可能对资产造成损害的意外事件的潜在的原因，即某种9硕上学位论文图2 3 风险评估流程图资产识别是确定组织的关键资产并对其进行评估口7 1，这是后续步骤的基础。威胁识别是确定组织需要保护的每一项关键资产存在的威胁并对其发生的可能性进行赋值。脆弱点识别是针对每一项需要保护的关键资产，找出每一种威胁所能利用的脆弱点，并对脆弱点被威胁利用的可能性进行评估，并为其赋相对等级值。已有安全措施的确认是指组织应对已采取

34、的控制措施进行识别并对控制措施的有效性进行确认。将有效的安全控制措施继续保持，以避免不必要的工作和费用。对于那些确认为不适当的控制措施是否应被取消，或者用更合适的控制来代替。风险计算是根据前面步骤中对资产、威胁、脆弱点的评估结果，按照一定的方法对每一项资产面临的风险值进行计算。组织在对风险等级进行划分后，应考虑法律法规的要求、机构自身的发展要求和风险评估的结果确定安全水平，对不可接受的风险选择适当的处理方式及控制措施，并形成风险处理计划。硕士学位论文展水平来说，是公认的经典的评估准则。在共同需求的驱动下，l9 9 6 年国际标准组织发布了I S O I E CT R1 3 3 3 5 标准。l

35、9 9 9 年，由6 国7 方(加拿大、法国、德国、荷兰、英国、美国N I S T 及美国N S A)发起，国际标准化组织和国际电工委员会发布了C C H 引，中文简称“通用评估准则一，是目前世界上最全面的信息技术安全评估准则之一。我国于2 0 0 1 年发布的G B T1 8 3 3 6 2 0 0 1 就等同于C C。上述国际标准的一个共同特点是把风险评估和管理放在一个十分重要的地位。国际标准的出台，反过来又推动了各国自身风险管理标准研发的进程。比如由英国标准协会(B S)制定的信息安全管理标准B S 7 7 9 9(I S o l 7 7 9 9)H 以及得到I S O认可的S S E

36、C M M(I S O I E c 2 1 8 2 7：2 0 0 2)H 纠等就是这种情况下产生的。S S E C M M是在2 0 0 2 年由国际标准化组织和国际电工委员会发布的，中文简称“能力成熟度模型一，是专门用于改进和评估安全工程能力的模型，是安全工程实施的度量标准。1 9 9 9 年，澳大利亚和新西兰发布了A S N Z s 4 3 6 0 H 副，是为满足公众和私营机构的高层管理需要而产生的。该风险管理过程将风险管理分为建立环境、风险识别、风险分析、风险评估和风险处理这五个环节，成为事实上的过程标准，也是当今非常出色的基于模型的C O R A S 综合风险评估系统所采用的标准。

37、1 9 9 9 年，美国审计总署出版了G A o A I M D 9 9 1 3 9 H 引，结合案例对自动处理、网络互连的信息系统提供了一种行之有效的风险评估方法，这份指南为实际运作中的信息系统提供了风险评估的方法论和目标。2 0 0 0 年，英国标准化协会(B S I)开发的B S 7 7 9 9 1：1 9 9 9 n 5 1通过了国际标准化组织I S O 的认可，正式成为国际标准一一I S O I E C1 7 7 9 9 1：2 0 0 0。该份标准是由1 9 9 5 年发布的B S7 7 9 9 1：1 不断修正得来的。此份标准将风险评估作为建立信息安全管理体系的中间步骤，确定了风

38、险评估的包括识别风险、评估风险、处理风险等在内的控制目标和控制方式。B S 7 7 9 9 这一信息安全管理标准已经在许多国家包括澳大利亚、新西兰、荷兰、瑞典、芬兰等在内的国家公布转化为国家标准，是目前应用最为广泛的信息安全管理体系标准。2 0 0 2 年，美国国家标准和技术学会发布了S P 8 0 0 3 0，将风险管理共分风险评估、风险降低、再评估这三个过程，此份指南的特点是风险评估结合信息系统生命周期的各个阶段而进行。2 0 0 3 年，美国联邦政府资助的研究机构卡耐基梅隆大学开发了O C T A V E(可操作的关键威胁、资产和薄弱点评估方法)H 引。它是一个原则、属性、输出相一致的评

39、估范例，是适合组织自主进行的、综合的、系统的、与环境相关的信息安全风险评估方法。输出是评估的结果，这个方法由建立基于资产的威胁列表、识别基础设施的薄弱点、制定安全策略和计划这三个阶段组成。在这方面，国内发展起步较晚，直到1 9 9 6 年中国国防科技学术委员会第一次发布了中国军标G J B 2 6 4 6 9 6，1 9 9 9 年中国国家质量技术监督局发布了中国G B l7 8 5 9 1 9 9 9 计算机信息系统安全保护等级划分准则，2 0 0 1 年发布了中国G B T 1 8 3 3 6 2 0 0 1，这个标准实际等同于C C。经过几年的努力和全国试点工作，我国的信息安全风险评估指

40、南 已经编制完，2 0 0 6 年初已上报国家标准管理部门批准。值得欣慰的是，由全国信息安全标准化技术委员会组织制定、国家标准1 3摹于层次分析法和隐马尔可夫模型的风险评估方法研究化管理委员会审查批准的G B T2 0 9 8 4 2 0 0 7 信息安全技术、信息安全风险评估规范、G B z2 0 9 8 5 2 0 0 7 信息技术、安全技术、信息安全事件管理指南、G B Z2 0 9 8 6 2 0 0 7 信息安全技术、信息安全事件分类分级指南等7 项的标准和指南已于2 0 0 7 年1 1 月1 日正式实施H 。这是我国信息安全管理成功迈出的第一步。综合以上几种标准，在这里简单地进行

41、一下标准的比较和评价。B S 7 7 9 9 是侧重于管理理念的最好体现，同B S 7 7 9 9 相比，C C 和T C S E C 等更侧重于对系统和产品的技术指标的评估，在安全管理要求的全面性和完整性方面不如B S 7 7 9 9；在对信息系统日常安全管理方面，B S 7 7 9 9 的地位是其他标准无法取代的。B s 7 7 9 9涵盖了安全管理所应涉及的方方面面，全面而不失可操作性，提供了一个可持续提高的信息安全管理环境，但在安全技术方面不如C C 分析的系统、透彻。S S E C M M 是系统安全工程领域里成熟的方法体系，在理论研究和实际应用方面具有举足轻重的作用。S S E C

42、 M M 模型适用于所有从事某种形式安全工程的组织，而不必考虑产品的生命周期、组织的规模、领域及特殊性。S S E C M 已成为西方发达国家政府、军队和要害部门组织和实施安全工程的通用方法，我们国家也已准备将S S E C M M 作为安全产品和信息系统安全性检测、评估和认证的标准之一。2 3 2 评估模型的研究分析从系统风险评估不同阶段、不同目标来看，本文将评估模型分为基于风险属性的模型、基于风险分析的模型、基于风险评价的模型、基于风险管理的模型和综合风险评估模型。下面结合一些较常用的模型举例说明。图2 5I S O l 5 4 0 8(C C)中的信息管理模型基于风险属性的模型，主要反映

43、风险因素之间的相互关系，对风险属性进行建模有助于理清评估思路，认清风险的本质属性，同时也为发现评估指标提供了很好的途径。在I S 0 1 3 3 3 5 们1(I T 系统管理指南)、I S O l 5 4 0 8(C C)例和B S 7 7 9 91 4基于层次分析法和隐马尔可夫模型的风险评估方法研究2 3 3 评估工具的研究分析风险评估是一个工作量繁重的过程，风险评估工具对风险评估的进行起着重要的辅助作用。随着风险评估的过程逐渐转向自动化和标准化，应用于风险评估的工具不断出现，自动化的风险评估工具不仅可以将分析人员从繁重的手工劳动中解脱出来，最主要的是它能够将专家知识进行集中，使专家的经验

44、知识能够被广泛地应用。美国、欧洲等发达国家和地区的风险评估工具已经初步具有形式多样化，目前也还在不断的发展之中。针对网络信息安全问题的复杂性和迅速发展，风险评估工具也会随之有更好的发展和完善的必要。而国内的风险评估工具主要是在入侵检测、安全审计等方面的一些产品，比较系统的风险评估工具几乎仍然一片空白。目前对风险评估工具的分类还没有一个统一的理解。文献 5 4 将风险评估工具分为三类：预防、响应和检测。通常情况下技术人员会把漏洞扫描工具称为风险评估工具，许多国家和组织都建立了针对于预防安全事件发生的风险评估指南和方法。基于这些方法开发出了一些工具，如C R A M M、R A 等，这些工具也被称

45、为风险评估工具。一个完整的风险评估所考虑的问题不只是关键资产在某个时间状态下的威胁、脆弱点情况，以往一段时间内的攻击情况和安全事故都是风险分析过程中用于确定风险的客观支持。那么对这些攻击事件的检测和记录工具也是风险评估工程中不可缺少的工具。因此。文献 5 5 中将入侵监测系统也作为风险评估工具的一种。冯登国研究员根据在风险评估过程中的主要任务和作用原理的不同，将风险评估工具分为三类：安全管理评价系统、信息基础设施风险评估工具和风险评估辅助工具晗j 6 1。l-安全管理评价系统通常这种系统在对信息安全风险进行评估后都会有针对性地提出风险管理措施。这种风险评估工具通常建立在一定的算法之上，风险由关

46、键信息资产、资产所面临的威胁以及威胁所利用的脆弱点三者来确定，如R A。也有通过建立专家系统利用专家经验进行风险分析，给出专家结论，这种评估工具需要不断进行知识库的扩充以适应不同的需要。常用的评估工具有：C R A M M(C C T AR i s kA a l y s i sa r i dM a n a g e m e n tM e t h o d)哺、C O B R A(C o n s u l t a t i v e，o b j e c t i v ea n dB i f I I n c t i o n a lR i s k A n a l y s i s)裾1、A S S E T K C

47、 C 5 、A s s c t 1、R I S K、R i s k 厂a t c h、X A C T A、C C T 0 0 lB o x 等。2 信息基础设施风险评估工具信息基础设施风险评估工具，包括脆弱点评估工具和渗透性测试工具。脆弱点评估工具也称为安全扫描、漏洞扫描器，评估网络或主机系统的安全性并且报告系统脆弱点。这些工具能够扫描网络、服务器、防火墙、路由器和应用程序发1 6硕上学位论文现其中的漏洞。通常渗透性工具与漏洞扫描工具一起使用，用于评估系统的深层次问题。目前比较常用的扫描工具有：I S SI n t e m e tS c a 加e r 6 引、N e s s u s 刚、S A

48、 I N T、R e t i n a 8 2 3 等。3 风险评估辅助工具这种工具在风险评估过程中不可缺少，它用来收集评估所需要的数据和资料，帮助完成现状分析和趋势分析。如入侵监测系统帮助检测各种攻击试探和误操作，它可以作为一个警报器，提醒管理员发生的安全状况。同时安全审计工具、安全漏洞库、知识库都是风险评估不可或缺的支持手段。目前存在很多的入侵检测产品，除了I S S、N F R、C I S C 0 等国外公司外，我国也有数家公司推出了自己相应的产品。安全审计工具主要是用来分析系统或网络安全现状，包括系统配置、服务检查、操作情况正确与否等内容，安全审计工具为风险评估提供安全现状数据。科学的风

49、险评估需要大量的实践数据和经验数据的支持，因此历史数据和技术数据的积累是风险评估科学性和预见性的基础。根据各种评估过程中需要的数据和知识，可以将评估支持环境工具分为：评估指标库、知识库、漏洞库、算法库、模型库。通过对评估工具的研究和分析，可以预测风险评估工具的发展方向：(1)评估工具应整合多种安全技术。风险评估过程中要用到多种技术手段，如入侵检测、系统审计、漏洞扫描等，将这些技术整合到一起，提供综合的风险分析工具，不仅解决了数据的多元获取问题，而且为整个信息安全管理创造良好的条件。(2)风险评估工具应实现功能的集成。风险评估工具应具有状态分析、趋势分析和预见性分析等功能。同时风险评估工具应提供

50、对系统及管理方面漏洞的修复和补偿办法，可以调动其他安全设施如防火墙、I D S 等配置功能，使网络安全设备可以联动。风险分析是动态的分析过程，又是管理人员进行控制措施选择的决策支持手段，因此，全面完备的风险分析功能是避免安全事件的前提条件。(3)风险评估工具逐步向智能化的决策支持系统发展。专家系统、神经网络等技术的引入使风险评估工具不是单纯的按照定制的控制措施为用户提供解决方案，而是根据专家经验，进行推理分析后给出最佳的、具有创新性质的控制方法智能化的风险评估工具具有学习能力，可以在不断地使用中产生新的知识，解决不断出现的新问题。智能化的决策支持能够为普通用户在面对各种安全现状的情况下提供专家